13 ביולי 2024 6:57

הרשות להגנת הפרטיות מגבירה את האכיפה על אירועי אבטחת מידע חמורים

"מקרים שבהם יתגלו ממצאים חמורים באופן הטיפול באירועי אבטחת מידע ולא ידווחו לרשות, עלולים להוביל לסנקציה האוסרת את המשך השימוש במידע ובכך לגרום לפגיעה משמעותית בפעילות העסקית של הגוף המפר", כך הודיע (28.1.19) עו"ד עלי קלדרון, הממונה על האכיפה המנהלית ברשות להגנת הפרטיות, במסגרת הגברת האכיפה של תקנות אבטחת המידע, ולכבוד יום ההגנה על הפרטיות העולמי, שצוין באותו מועד.

תקנות הגנת הפרטיות (אבטחת המידע) שנכנסו לתוקף במאי 2018, קובעות כי על כל בעל מאגר מידע חלה חובה לאבטח את מאגרו לפי הסטנדרט שנקבע בתקנות, וזאת לפי רמת האבטחה הנדרשת בהתאם לגודל המאגר ואופי המידע המצוי בו (נמוכה, בינונית וגבוהה). כמו כן, במקרה של גילוי אירוע אבטחה חמור על-ידי בעל מאגר המידע, התקנות קובעות כי עליו להודיע לרשות מידית, כאשר הרשות קבעה כי מדובר בהודעה שתינתן תוך 72 שעות. בהודעה, על בעל המאגר גם לדווח על הצעדים שנקט. הרשות קבעה כי על התקנות תחול תקופת הטמעה ראשונית עד דצמבר 2018 במטרה לאפשר לגופים ולחברות במשק להיערך באופן מיטבי לקראת כניסתן.

כעת, עם סיום תקופת ההטמעה הראשונית, נכנסת לתוקף תקופת ביניים שבה תוגבר האכיפה במקרים של הפרת תקנות אלה. במסגרת הגברת האכיפה, הרשות מדגישה כי תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה שבו יימצא כי התקנות הופרו, למעט במקרים קלים. כאשר תמצא הרשות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת מידע, לרבות מקרי הימנעות מדיווח והסתרה, הרשות תפעל במלוא החומרה כנגד הגורם המפר ואף תשקול את ביטול רישומו של מאגר המידע באופן האוסר על השימוש במידע.

החל ממועד כניסתן לתוקף של התקנות במאי 2018, נערכו 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים מצד הרשות (כאשר רק 45 מתוכן דווחו לרשות). מנתונים שפרסמה הרשות, עולה כי הסיבות השכיחות ביותר לקיומו של אירוע אבטחה חמור הן תקיפות סייבר (כ-35%), טעויות אנוש (15%) ושימוש לרעה (7%). מרבית אירועי האבטחה החמורים התרחשו בחברות מערכות מידע (31%), למשל חברות היי-טק, חברות ביטוח ופיננסים (15%) וגופים ציבוריים (11%). עוד עולה כי בכ-35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ-100,000 אנשים, וסוגי המידע שדלפו הם מידע אישי (79%), למשל פרטי לקוחות, מידע פיננסי (10%) ומידע רפואי (6%), למשל מצב רפואי ותוצאות בדיקות.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

תיקון 14 לחוק הגנת הפרטיות: סמכות מתן צו הפסקת עיבוד מידע וצו מחיקת מאגר אושרה בוועדת חוקה

ועדת חוקה חוק ומשפט של הכנסת מתקדמת לקראת סיום הכנת תיקון 14 לחוק הגנת הפרטיות לקריאה שנייה ושלישית. ביום ראשון האחרון (23.06.24) התקיים בוועדת החוקה ...

יצוא תוכנות סייבר – האם ייצוא ביטחוני? מדריך

מאת עו"ד גבריאל לבטון חוק הפיקוח על ייצוא ביטחוני, התשס"ז-2007 ("החוק") קובע כי יצואן בטחוני הוא כל מי שעוסק בשיווק ו/או יצוא של ציוד בטחוני, ידע ...

מערך הסייבר והרשות להגנת הפרטיות: מתקפות סייבר בישראל עולות לנו ביוקר

דו"ח חדש של מערך הסייבר הלאומי (מאי 2024) מעריך, שהעלות הכלכלית המצטברת למשק הישראלי מנזקי מתקפות סייבר עומדת על לפחות 12 מיליארד ₪ בשנה. אומדן ...

מסתמנת החלת חובה בחוק למינוי ממונה פרטיות בארגון

חובה למנוי ממונה הגנה על הפרטיות תחול גם בישראל. כך עולה מדיון שקיימה לאחרונה (05.06.2024) ועדת חוקה חוק ומשפט של הכנסת, במסגרת הדיונים על תיקון ...
דילוג לתוכן